[CheckPoint] Des paquets ICMP bypassent le VPN

octobre 20, 2011  |   Blog   |     |   Commentaires fermés sur [CheckPoint] Des paquets ICMP bypassent le VPN

Il vient de m’arriver un sale bug qui m’a occupé 2h lors d’une formation Checkpoint : autant en faire profiter tout le monde !

Lorsque la règle implicite “Accept ICMP requests” est activée (cf menu “Global properties“), les pings entre deux réseaux – reliés par un VPN – n’empruntent plus ce VPN !!

Après avoir sniffé l’interface externe, on voit bien les paquets ICMP sortirent NATés et non encapsulés, comme si les règles VPN (basées sur la topologie) n’existaient pas.

J’ai reproduit ce bug sous VPN-1 R71.10, R75.40 mais également sous R75.20 !

Le tunnel était ok, car les flux TCP passent sans aucune difficulté.

En désactivant cette option, le ping passe enfin via le VPN !!

Après recherche j’ai trouvé un vieux post qui traitait de cela en R65 :  https://www.cpug.org/forums/ipsec-vpn-blade-virtual-private-networks/12585-icmp-packet-does-not-go-through-vpn-tunnel.html

Je peux donc confirmer que ce bug est toutjours en vie…

 

Conclusion : ne pas activer d’autres règles implicites que celles d’interconnexion des éléments Checkpoint.

Les commentaires sont fermés.